Plej multaj diskutoj pri sekureco prezentas dungitojn kiel ŝarĝon. Sekve, la provizita trejnado plifortigas ĉi tiun ideon - per longaj ĉiujaraj prezentoj, kaj alarmaj konsekvencoj skizitaj pro iuj ajn eraroj, kiujn dungitoj eble farus. Ĉi tiu aliro ensorbigas timon, malintereson, kaj apenaŭ ian ajn kondutan ŝanĝon. Tamen, alternativa aliro estas havebla, la premiso nur bezonas esti renversita.
Kial trejnado bazita sur timo ne sukcesas
Laŭ la Raporto pri Enketoj pri Datumrompoj de Verizon, 74% de ĉiuj datenlikoj implikas la homan elementon. Ĉu temas pri sukcesa socia inĝeniera atako, eraro aŭ misuzo. Homoj, kiuj dividas ĉi tiujn statistikojn, ofte uzas ilin por indiki, ke dungitoj estas malforto, tamen la statistiko vere montras, ke homa konduto estas la celo de atako - kaj homa konduto estas ankaŭ kie vi povas haltigi ĝin.
Trejnado bazita sur timo vidas tiun statistikon kiel juĝon. Trejnado bazita sur konscio vidas ĝin kiel ŝancon. Kiam viaj homoj rimarkas, ke ili estas la unua detektolinio - ne malforta ligo - ili ŝanĝas sian pensmanieron. Ili rimarkas aferojn, kiujn ili neniam antaŭe rimarkis. Ili parolas laŭte, anstataŭ silente esperi, ke ili eraras.
Teknika kontrolo gravas malpli ol ĉi tiu psikologia.
Transirante la ĉiujaran markobutonon
Alproksimiĝu al dungita sekureca trejnado el pensmaniero, kiu prioritatigas plenumon, kaj jen la ciklo, en kiu vi vin enŝlosas. Sesio estas planita, via teamo alvenas (espereble), spektas filmeton aŭ prezenton, kesto estas markita en via sekureca revizio, kaj nenio ŝanĝiĝas ĝis la sama tempo venontjare, kiam vi rekomencos ĉion. Tiam, preskaŭ ĉiuj tiuj informoj kaj kunteksto jam delonge forlasis la mallongdaŭran memoron de via teamo. Lavu, forlavu, kaj ripetu.
Ĉi tio ne estas teama fiasko, ĝi estas struktura. La kadukiĝo de homa memoro ne funkcias laŭ 12-monata ciklo (estus sufiĉe bonege se ĝi farus tion), multe da tiuj valoraj trejnaj informoj jam ne ekzistas en la kapo de teamo kiam ili plej bezonas ilin - la sekvan fojon kiam io malica celas vian organizon.
Aŭtomataj trejnadcikloj pruviĝis superi siajn ĉiujarajn, manajn laborrenkontiĝojn pro ĝuste unu kialo: per tio, ke ili konsideras sekurecon dum la tuta jaro, ne nur dum la seminario. Trejnado pri sekureca konscio liverata per aŭtomata platformo permesas al vi atingi ĉiujn, spuri progreson kaj adaptiĝi laŭ fakta konduto - do teamo, kiu praktikas bonan sekurecon laborante de hejme dum streĉa marto, multe malpli probable faros erarojn en decembro.
La ĝustatempa lerna modelo
Trejnado pri sekureca konscio por dungitoj estas plej efika kiam ĝi estas liverata en la ĝusta tempo. Ekzemple, kiam dungito alklakas ligilon por fiŝkapta simulado, la respondo ne devus esti simple raporti ilin kaj fini. Anstataŭe, tio estas la perfekta okazo por tuj provizi al ili mallongan, fokusitan lernan modulon.
Ĉi tiu aliro, ankaŭ konata kiel ĝustatempa lernado, raportas pli bonajn retenprocentojn ol antaŭplanita trejnado. La leciono estas rekte rilata al tio, kio okazis. La dungito ne sentas sin punita, sed anstataŭe lernas kion eviti ĝuste en la ĝusta momento, kiam ĉi tiu informo estas plej bezonata.
Konstruante kulturon de raportado sen kulpo
Estas neeviteble, ke eĉ la plej bone trejnitaj dungitoj faros erarojn de tempo al tempo. La diferenco inter negrava okazaĵo kaj plena rompo ofte estas kiom rapide la eraro estas raportita. Se dungitoj timas reprezaliojn, ili silentos. La rompo eskalados. Kaj antaŭ ol iu finfine rimarkos, la reakiro estos multe pli multekosta.
Tial bone difinita, nepuna raportadprocezo estas unu el la plej gravaj aferoj, kiujn organizo povas starigi. Ĝi montras al dungitoj, ke trovi kaj tuj raporti eraron estas la ĝusta respondo - ne io kaŝenda. Ĝi ankaŭ kreas alarmojn, kiujn via sekurecstabo povas uzi antaŭ ol rompo eskapas el kontrolo.
Kaj ĉi tio absolute parolas pri la risko de internaj minacoj laŭ maniero, pri kiu ni ne parolas sufiĉe ofte. Plej multaj internaj okazaĵoj ne estas malicaj. Ili estas eraroj - iu instalas neaŭtorizitan programaron, estas trompita de preteksta atako, misagordas nuban servilon. Kulturo de sekureco en raportado kaptas tiujn antaŭ ol ili eskaladas. Kulturo de kulpigo lasas ilin kaŝi sin.
Fari sekurecon senti kiel profesian kapablon
Iafoje ludigado estas konsiderata bagatela afero, sed ĝi fakte funkcias ĉar ĝi ŝanĝas la kuntekston: ĉi tiu trejnado ne estas io donita al dungitoj, ĝi estas io pri kio ili povas esti bonaj. Rangotabeloj, rekono kaj kompletigaj insignoj ekigas la saman konkurencan kaj atingomotivon, kiu instigas homojn serĉi profesiajn atestilojn.
Kiam dungitoj komencas marki sian progreson en sekureca konscio aŭ rimarki fortan agadon de sia teamo en fiŝada simulado, sekureco ne plu estas problemo de iu komputila nerdo, ĝi estas la identeco de profesiulo. Kaj jen kie formiĝas la vera cibersekureca kulturo - ne el afiŝoj, muskusenetoj aŭ lanugaj ludiloj, nek el avertaj glumarkoj en la dungita manlibro.
Adopto de MFA, redukto de ombra IT, kaj eĉ kulturaj aspektoj de fizika sekureco kiel taŭga defio por antaŭmatĉa aŭ alkroĉiĝo, pliboniĝas kiam dungitoj akceptas la ideon, ke ĉi tiuj estas gravaj faktoroj por kiel bona profesiulo funkcias. Vi ne celas plenumon; vi celas kompetentecon.
La organizoj, kiuj plej bone respondas al okazaĵoj, ne estas tiuj, kiuj havas la plej nekredeblan, X-premiitan sekurecteknologion. Ili estas la organizoj, kies dungitoj estas motivitaj esti profesie kompetentaj kaj, kiam ili vidas ion strangan, tuj serĉas subtenon.